Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Domainzertifikat Problem

Mitglied: Kl3vb45

Kl3vb45 (Level 1) - Jetzt verbinden

11.08.2019 um 09:37 Uhr, 398 Aufrufe, 9 Kommentare, 4 Danke

Hallo Community,
ich habe mal eine Frage zu folgendem Fall:

Zwei Unternehmen wollen eine E-Mail-Verschlüsselung untereinander via S/MIME.
Admin 1 von Unternehmen 1 kauft für jede E-Mail-Adresse der Firma ein Zertifikat von Globalsign und schickt dieses zu Admin 2 im Unternehmen 2. Bislang hat Admin 2 von Unternehmen 2 das auch so gemacht, jetzt allerdings hat Admin 2 ein Domainzertifikat bestellt um nicht für jede E-Mail-Adresse ein eigenes Zertifikat bestellen zu müssen. Admin 1 verschickt seine E-Mails über das Programm Thunderbird und hat das Domainzertifikat auch bei Thunderbird unter Personen eingespielt, da dieses Zertifikat aber nur eine E-Mail als Besitzer hat, kann Admin 1 auch nur an diese eine E-Mail verschlüsselt senden, bei allen anderen E-Mail-Adressen kommt der Fehler, dass keine Zertifikate für diese E-Mail existiert. Wie kann man das Problem am einfachsten lösen?
Mitglied: cykes
11.08.2019 um 10:39 Uhr
Hallo,


Zitat von Kl3vb45:

[...] jetzt allerdings hat Admin 2 ein Domainzertifikat bestellt [...]
Was für ein Zertifikat wurde genau bestellt? Mit einem Wildcard bspw. funktioniert das so nicht, da es nicht für S/MIME Signierung/Verschlüsselung gedacht ist. Dann tritt genau der beschriebene Effekt ein.

Wie kann man das Problem am einfachsten lösen?
Admin2 muss die korrekten Zertifikate kaufen. Zusätzlich können die Zertifikate in einer eigenen PKI verwaltet werden, einige Anbieter - wie bspw. Globalsign - bieten dafür Managed PKI an(vgl. >hier<, dort kann man die Zertifikate selbst ausstellen und verwalten, das ganze lässt sich dann auch noch ans lokale AD andocken zur Verteilung der S/MIME Zertifikate. Das lohnt sich aber erst bei einer entsprechend größeren Umgebung, bei bspw. 10 oder 20 Benutzern ist die einzelne Bestellerei zwar sicher nervig, aber der einfachere Weg.

Gruß

cykes
Bitte warten ..
Mitglied: cykes
11.08.2019 um 11:24 Uhr
...anders ausgedrückt: es wäre ja auch - harmlos ausgedrückt - kontraproduktiv, wenn alle Benutzer an Standort 2 das gleiche Zertifikat für die Verschlüsselung verwenden würden. Da braucht schon jede Mailadresse ihr eigenes Zertifikat.
Bitte warten ..
Mitglied: Kl3vb45
11.08.2019 um 11:38 Uhr
Hallo Cykes, vielen Dank erstmal für die Antworten. Also gehe ich richtig in der Annahme , dass ein S/MIME Zertifikat nur für eine E-Mail-Adresse ausgestellt werden kann und das Multidomain- und Wilcardzertifikate alleine für die SSL-Verschlüsselung von Webseiten gedacht sind?
Bitte warten ..
Mitglied: cykes
11.08.2019 um 12:18 Uhr
Zitat von Kl3vb45:

Also gehe ich richtig in der Annahme , dass ein S/MIME Zertifikat nur für eine E-Mail-Adresse ausgestellt werden kann und das Multidomain- und Wilcardzertifikate alleine für die SSL-Verschlüsselung von Webseiten gedacht sind?
Wildcards laufen ja auch auf den Namen *.domain.tld und nicht auf *@domain.tld (die gibt es entsprechend auch nicht), bezüglich Mail sind diese nur noch mailserverseitig für Transportverschlüsselung (TLS) verwendbar. Ansonsten benötigt für die Ende-Zu-Ende-Verschlüsselung via S/MIME natürlich jedes Postfach sein eigenes Zertifikat. Das muss dann auch auf sämtlichen von dem jeweiligen Benutzer genutzen Geräten eingebunden werden. Ansonsten könnte ja jeder Benutzer an Standort 2 die verschlüsselten Mails lesen.

Ob eine Transportverschlüsselung ausreichend ist, können nur die beiden involvierten Standorte bzw. "Mailer" entscheiden. Das kommt auf den Mailinhalt und die Sicherheitsanforderungen an. Noch komplizierter wird es bei S/MIME wenn die Postfächer (temporär) freigegeben werden (müssen), das persönliche Zertifikat sollte man nicht aus der Hand geben.
Ggf. kann man auch aus eine entsprechende Mail-Security-Appliance zurückgreifen, die die Verwaltung etwas vereinfacht.
Bitte warten ..
Mitglied: Kl3vb45
11.08.2019 um 13:46 Uhr
Also ich hab mich eben noch mal schlau gemacht und dabei ist herausgekommen, dass Admin 2 ein Verschlüsselungsgateway(Virtuelle Posstelle), welches anscheinend die E-Mails verteilt, benutzt und Admin 1 nur das Gatewayzertifikat gegeben hat. So soll keine end-to-end, sondern eine gateway-to-gateway kommunikation erreicht werden. Gibt's da keine Möglichkeit vom Benutzer zum Gateway zu schreiben, ohne eine extrem teure Gatewaylösung zu kaufen?
Bitte warten ..
Mitglied: cykes
11.08.2019 um 14:07 Uhr
Zitat von Kl3vb45:

Gibt's da keine Möglichkeit vom Benutzer zum Gateway zu schreiben, ohne eine extrem teure Gatewaylösung zu kaufen?
Die gibt es sicher schon, dazu bräuchten wir aber ein paar zusätzliche Informationen:
  • Hat Unternehmen 1 (also vermutlich Deins ;)) einen eigenen Mailserver lokal installiert oder gehen die ausgehenden Mails über den Mailserver des Domain-Anbieters/Hosters bzw. Providers raus?
  • Das Verschlüsselungsgateway bei Unternehmen 2 setzt nur Transportverchlüsselung ein oder signiert/verschlüsselt es die Mails mit S/MIME, wobei die passenden Zertifikate dann auf dem Gateway pro Benutzer hinterlegt sind?
  • Hast Du auch die Information bekommen, um welches Gateway es sich genau handelt, dann kann man mal recherchieren, wie das genau umgesetzt ist. Es gibt näm,lich durchaus auch noch weitere Ansätze zum Thema Mailverschlüsselung.
Bitte warten ..
Mitglied: Kl3vb45
11.08.2019 um 15:02 Uhr
  • Das Unternehmen 1 hat einen lokalen Mailserver.

  • Eigentlich hat das gesamte Unternehmen 2 S/MIME Verschlüsselung, und würde mich auch wundern wenndem jetzt auf einmal nicht mehr so wäre.

  • Leider nicht, da war nur ein Gateway-Zertifikat und es hieß, das wäre für alle *@Domain.de Adressen gültig.
Bitte warten ..
Mitglied: Kl3vb45
11.08.2019 um 16:05 Uhr
Würde es reichen, wenn die Benutzer des Unternehmens 2 mir eine signierte und verschlüsselte Nachricht schicken? Damit müsste ich doch den öffentlichen Schlüssel von der jeweiligen Benutzer E-Mail erhalten. Oder kann ich das Gateway-Zertifikat auf den Mailserver legen?
Bitte warten ..
Mitglied: cykes
LÖSUNG 11.08.2019, aktualisiert um 17:13 Uhr
Zitat von Kl3vb45:

  • Das Unternehmen 1 hat einen lokalen Mailserver.
Dann steht der Transportverschlüsselung diesbezüglich ja nichts im Wege, gültiges TLS-Zertifikat und entsprechende Konfiguration vorausgesetzt.
* Eigentlich hat das gesamte Unternehmen 2 S/MIME Verschlüsselung, und würde mich auch wundern wenndem jetzt auf einmal nicht mehr so wäre.
Was passiert denn, wenn ein Benutzer aus Unternehmen 2 eine Mail an einen Benutzer aus Unternehmen 1 schreibt, kommt diese signiert mit einem S/MIME-Zertifikat an oder nicht?
* Leider nicht, da war nur ein Gateway-Zertifikat und es hieß, das wäre für alle *@Domain.de Adressen gültig.
Dann hat admin2 entweder keine Ahnung oder die "Virtuelle Posstelle" (ist damit das Produkt vom BSI bzw. Bund gemeint? -> https://de.wikipedia.org/wiki/Virtuelle_Poststelle oder gar beA bzw. EGVP?) nicht komplett verstanden. Das Gateway-Zertifikat brauchst Du i.d.R. nicht, das handeln die Mailserver via TLS unter sich aus, sofern der MX-Eintrag im DNS von domain2 korrekt gesetzt ist. Das Gateway-Zertifikat hat auch wenig mit den Postfächern *@domain2.de zu tun. Das dürfte darin getrennt behandelt werden oder auf Clientseite.
Auf jeden Fall bekommt man als externer keinen Zugriff auf EGVP bzw. beA.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Probl. b. Programminst. nach Netzlaufwerksbuchst.: invalid directory name specified or the removable media is not properly inserted

gelöst Frage von departure69Windows Server4 Kommentare

Hallo. Situation: - SBS 2008 AD-Domäne - versch. Memberserver, teils phys. teils virtuell, alle im selben Netz - Clients ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 1 TagHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 2 TagenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 2 TagenHumor (lol)17 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 2 TagenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Windows 10
Windows 10 druckt nicht mehrere Kopien?
Frage von StefanKittelWindows 1015 Kommentare

Hallo, ich hatte gerade einen Anruf eines Kunden. Sein neuer PC (Win 10 1903) druckt nicht mehr mehrere Seiten ...

Verschlüsselung & Zertifikate
Mit BitLocker verschlüsselte Festplatte löschen?
gelöst Frage von SnowbirdVerschlüsselung & Zertifikate14 Kommentare

Hallo, ich habe eine mit Bitlocker verschlüsselte externe Festplatte. Diese möchte ich gerne löschen sodass nichts mehr auffindbar ist. ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...